воскресенье, 15 декабря 2019 г.

КИИ. Методические рекомендации от АРСИБ по КИИ


Недавно АРСИБ обновили свой документ “Общие рекомендации по безопасности объектов критической информационной инфраструктуры организации” – теперь версия 2.0 и соответствие свежим правкам в законодательстве

Последний год на конференциях, вебинарах, блогах, соцсетях, телеграм-каналах задаются в общем то одни и те же вопросы из области КИИ: а мы субъект КИИ? а это объекты КИИ? а что писать? а куда отправлять? …

В отличие от ассоциации электросвязи, рабочая группа АРСИБ не сделала за вас вашей работы, но они постарались ответить все вопросы, которые вы только планируете задать. Поэтом предлагаю для начала ознакомится с этим методическим документом. Возможно, этого вам будет достаточно.  

“В главах данного пособия, авторы, специалисты практики в сфере информационной безопасности, концентрируются на рассмотрении проблемных вопросов, касающихся практического применения Закона «О безопасности КИИ».”

Тут обращу внимание на некоторые моменты, которые мне особенно понравились:
·        общая дорожная карта
  
·        какие документы смотреть при определении принадлежности к субъектам КИИ

·        сводная таблица инвентаризации ИС, АСУ, ИТКС

·        четкая классификация объектов КИИ. В том числе не забыли, что ИС, являющиеся ОКИИ могут быть разных видов

·        а от этого сильно зависит итоговый набор требований к системе

·        авторы обратили внимание на разницу понятий “объекта КИИ” и “объекта КИИ, подлежащего категорированию”, а также ответили на вопрос первичен перечень объектов или перечень процессов? о чем было сломано много копий.



·         пример анализа применимости критериев значимости к субъекту КИИ




·        этапы PDCA функционирования СОИБ ЗОКИИ и распределение мер по этапам

·        ключевой мерой этапа Мониторинга и контроля по мнению авторов является аудит ИБ (внутренний или внешний). Приводят рекомендуемую последовательность действий в рамках аудита

·        на этапе совершенствования рекомендуют использовать уровни зрелости процессов ИБ

·        вспомнили что при взаимодействии с ГосСОПКА кроме передачи информации об инцидентах, есть ещё и другие потоки

·        сделали примерны состав ОРД субъекта КИИ

·        есть и состав ОРД для взаимодействия с ГосСОПКА, шаблоны некоторых документов и даже свой FAQ.

Что приятно – указан состав рабочей группы, разработавшей документ: Константин Саматов, Михаил Кашаев, Лев Палей, Радмир Нафиков, Александр Мишурин, Николай Носов.
“… основной акцент в процессе рассмотрения был сделан на встречавшихся в практике авторов проблемных вопросах, с учетом которых формулировались основанные на своей, возможно пока и небольшой, практике рекомендации по обеспечению безопасности объектов КИИ, так как основная идея авторов пособия заключалась в том, чтобы создать некое наставление, которое бы позволило совершить меньше ошибок.”

Заключение: этот методический документ АРСИБ должен закрыть большинство ваших вопросов в области КИИ. 
Если какие-то вопросы ещё остались – попробуйте посмотреть наш FAQ по КИИ, там тоже много всего. 
Если и этого мало - приходите на наш предновогодний вебинар с Ксенией Шудровой, будем там в онлайне обсуждать ваши вопросы.

понедельник, 2 декабря 2019 г.

Кого назначить ответственным за обработку ПДн?


В рамках рабочей группы Роскомнадзора по ПДн выявилась следующая проблема – в законодательстве отсутствует указание, кого назначить лицом, ответственным за организацию обработки персональных данных, какие у него должны быть функции и квалификация.

Эти вопросы интересуют всех операторов и в видео ниже я постарался на них ответить: 



Нажмите чтобы увидеть требования НПА

Основные выводы привожу и тут:

Кого назначить?
Лучшие возможные варианты (подчиняются напрямую исполнительному органу организации и не имеют конфликта интересов при проведении контроля):
·        Руководитель / заместитель руководителя компании
·        Независимый эксперт / консультант / советник
·        Руководитель юридического подразделения
·        Руководитель подразделения аудита
Также возможны варианты (подчиняются напрямую исполнительному органу организации и но возможен конфликта интересов при проведении контроля):
·        Руководитель ИБ подразделения
·        Руководитель подразделения по работе с клиентами
·        Руководитель ИТ подразделения
·        Руководитель HR подразделения

Требования к квалификации:
Должен знать (как минимум):
Основные положения законодательства РФ в области обработки ПДн
·        понятие ПДн
·        принципы обработки ПДн
·        условия обработки ПДн
·        цели и правовые основания обработки ПДн
·        виды и формы согласий субъекта ПДн на обработку ПДн
·        понятие и особенности обработки общедоступных ПДн
·        понятие и особенности обработки биометрических ПДн
·        понятие и особенности обработки специальных категории ПДн
·        понятие и особенности поручения обработки ПДн
·        понятие и особенности трансграничной передачи ПДн
·        права субъектов ПДн
·        возможные угрозы нарушения прав субъектов ПДн и связанный с ними ущерб
·        обязанности оператора ПДн
·        возможные меры направленные на обеспечение выполнения обязанностей оператора ПДн
·        порядок взаимодействия с уполномоченный орган по защите прав субъектов персональных данных
·        требования к уведомлению об обработке персональных данных
Основные положения законодательства РФ в области защиты ПДн
·        понятие уровней защищенности ПДн при их обработке в ИСПДн
·        основные виды и типы угроз безопасности ПДн в ИСПДн
·        содержание и порядок организации работ по выявлению угроз безопасности ПДн
·        требования по обеспечению безопасности ПДн
·        возможные меры по выполнению требований по по обеспечению безопасности ПДн
Положения ОРД по ПДн, принятые в организации
Требования по взаимодействию с субъектами ПДн, по их обращениям
Нормы устанавливающие ответственность за нарушение требований по обращению с персональными данными. Практика правоприменения данных норм
Порядок проведения государственного контроля и надзора за обработкой ПДн

+ должен знать (лучшие практики):
·        современные информационные технологии и технологии защиты
·        особенности обработки ПДн которые приводят к высокому риску для субъектов ПДн
·        основные бизнес-процессы организации

Должен уметь (как минимум):
·        планировать мероприятия по контролю и повышению осведомленности
·        осуществлять мероприятия по контролю
·        организовывать взаимодействие с субъектами ПДн по их обращениям и запросам
·        осуществлять повышение осведомленности работников в области обработки и защиты ПДн
·        предоставлять отчетность исполнительному органу организации
·        взаимодействовать с органом государственного контроля и надзора
+ должен уметь (если обязанности расширены):
·        организовывать изменения в процессах обработки ПДн
·        разрабатывать ОРД связанные с обработкой ПДн
·        планировать мероприятия по обеспечению безопасности ПДн
·        разрабатывать ОРД по обеспечению безопасности ПДн
·        определять требования по обеспечению безопасности ПДн в ИСПДн
·        определять состав и содержание мер по обеспечению безопасности ПДн при их обработке в ИСПДн
·        вести учет лиц, обрабатывающих ПДн
·        принимать меры устраняющие нарушения, связанные с обработкой и защитой ПДн
+ должен уметь (лучшие практики):
·        вести учет процессов обработки ПДн
·        оценивать угрозы и риски нарушения прав субъектов ПДн
·        консультировать по вопросам, связанным с обработкой и защитой ПДн

Должен иметь опыт проведения контроля соответствия процессов Организации требованиям законодательства.

Рекомендуется иметь высшее образование и проходить обучение не реже 1 раза в 5 лет.



вторник, 12 ноября 2019 г.

Что могут выдать ваши Отзывы?


Вроде бы хорошая идея - оставлять публичные отзывы о товарах, услугах, организациях, чтобы всем сообществом выявить лучших и предостеречь от некачественного.

Наиболее продвинутые платформы для Отзывов дают пользователям ачивки, рейтинги и лайки, чтобы стимулировать пользователей. Есть пользователи с сотнями и тысячами отзывов.
Также платформы стараются собирать Отзывы через короткий промежуток времени, после того как вы побывали в Организации или перешли на сайт -> таким образом у многих пользователей Отзывы формируют историю во времени.

Зачастую отзывы могут сообщать о пользователях такую информацию, которую они не рассказывают в своих соцсетях. Давайте на примере платформы Яндекса возьмем пару неизвестных человек и посмотрим, какую информацию о них увидеть?

Например, исследователю или детективу интересны люди оставившие хвалебные отзывы к целевой организации (возможно это сотрудники или контрагенты). Пусть это Минкомсвязи и Минпромторг.

Находим целевых пользователей. Заходим в их публичный профиль на платформе Отзывов.
Изучаем, группируем, получаем примерно следующую картинку:






Итого про пользователя при некотором везении можно узнать примерно следующую информацию:
·        Где живет
·        Какими магазинами пользуется
·        Где работает
·        Где обедает и ужинает (с клиентами?)
·        Когда и куда ездил в отпуск
·        Когда и куда ездил в командировки
·        Есть ли дача и в каком районе
·        Марка авто и где обслуживается
·        Хобби
·        Пользовался ли медицинскими услугами и где?
·        Какие покупки недавно делал и в каких магазинах
·        Там же по фотографии в публичном профиле можно сделать поиск через поисковые системы и найти связанные аккаунты и странички.
·        В этом же профиле можно посмотреть идентификаторы и логин пользователя. Возможно, по этому логину в других сервисах доступна дополнительная информация.
window.__PRELOADED_STATE__={"pkUser":{"name":"И*****С.","pic":"21493\u002Fenc-0dd87*************2fcd8e33261e893","pkPath":"\u002Fuser\u002*****oni_aq9","login":"*******"},

Есть пользователи которые всю эту информацию уже опубликовали в соц. сетях. Для них вряд ли будет проблемой такое досье.
Но бывают ситуации, когда вы сказали что более в Москве, а в это время делаете отзыв ресторану в Алупке. Или вы получили доступ к гос. тайне и вдруг делаете положительный отзыв визовому центру Великобритании. Проведите ревизию - все ли отзывы безопасны для вас.

Выводы:
·       На платформе Яндекса публичный профиль открыт по умолчанию, а это не secure by design. Согласие на публикацию сводной информации не собирается. DPIA?
·       Большинство пользователей просто делают Отзывы и не задумаются, о том, что со временем на них собирается публичное досье. Ограничивайте доступ к такому. 
·       Если вы всё-таки пишете Отзывы, указывайте меньше личных данных и т.п.


Где подписаться чтобы не пропустить новую статью: Телеграм https://t.me/sergeyborisov23
Блог https://sborisov.blogspot.com/  Группа вконтакте https://vk.com/club154111680

пятница, 18 октября 2019 г.

Теперь можно отправить документы по ПДн на предварительную проверку Роскомнадзору


Как вы могли заменить из предыдущей статьи Центр Компетенций Роскомнадзора создал рабочие группы для методической помощи операторам ПДн.
В этой заметке я хочу рассказать вам про вторую важную задачу этих групп.
Перед внедрением сложных СЗИ широко практикуются так называемые Пилотные проекты / тестовые зоны / опытная эксплуатация, в рамках которых проверяется работоспособность технического решения и его соответствие требованиям и только потом решение распространяется на всю организацию и вводится в действие.

Для организационных мер ничего подобного не применяется: разрабатываем регламенты, по которым будут функционировать процессы обработки и защиты ПДн и сразу утверждаем, и внедряем их в организации. Потом оказывается, что процессы не соответствуют требованиям законодательства РФ и все нужно переделывать, менять устоявшиеся правила и переобучать персонал. 

Теперь в тестовом режиме Роскомнадзор вводит услугу по предварительной проверке пакета документов по ПДн, на соответствие обязательным требованиям. Решение по направлению проектов документов на рассмотрение исключительно добровольное. РКН называет эту процедуру “рассмотрением … подтверждающим выполнение требований” и никаких юридических последствий данная процедура иметь не будет.
  
Оператор в результате получит
·        подтверждение соответствия документов требованиям
·        либо рекомендации по потому чего не хватает

Следовать рекомендациям или нет – дело добровольное. Но как минимум вы будете в курсе того, что вам ждать на настоящей проверке РКН.

Хочу отметить, что подобные “рассмотрения” не заменяют полноценного аудита соответствия 152-ФЗ, так как не включает обследование обработки ПДн на месте и проверку соответствия фактически выполняемых процедур требованиям законодательства. Над этим вам придется поработать уже без помощи Роскомнадзора.

 Кстати, подобные предварительные проверки со стороны регулятора широко применяются в Евросоюзе и даже обязательны для определенных категорий операторов.


Напомню, что эксперимент проводится пока только в трех федеральных округах. Документы на рассмотрение можно отправить обычной почтой, по адресу управления Роскомнадзора по вашему региону, либо на электронную почту:

Я бы рекомендовал, как минимум, операторам самостоятельно (без помощи консультантов) разработавшим процессы и документы по ПДн – воспользоваться предложением РКН. Только отправляйте сразу весь пакет проектов документов который касается обработки и защиты ПДн. Не отправляйте утвержденные документы!

вторник, 15 октября 2019 г.

Рабочие группы Роскомнадзора по Персональным данным


Для оказания методической помощи операторам персональных данных в Роскомнадзоре были сформированы центры компетенции и рабочие группы по направлению «Персональные данные» в трех федеральных округах.

Я вошел в состав рабочей группы в Южном федеральном округе, ответственной за разработку наиболее полезного, с моей точки зрения, “методического портфеля” оператора ПДн. Рабочие группы в других ФО отвечают за разработку механизмом выявления, предотвращения и пресечению неправомерной обработки ПДн, за повышение уровня воспитания и поведения несовершеннолетних в сети Интернет. 

11 октября 2019 г. прошло установочное заседание нашей рабочей группы, на которой утвердили положение о РГ, программу мероприятий. Всего в РГ входит 50 экспертов из 5 городов. В виду сжатых сроков (до 25 ноября), выделили 4 подгруппы, каждая из которых берет на себя разработку одного из документов “Методического портфеля”. Разработанные документы согласует РГ, утвердит Центр компетенции Роскомнадзора, после чего они будут публиковаться на портале РКН и продвигаться для всех операторов ПДн в РФ (но это уже в следующем году). 


Почему я согласился поучаствовать в этой инициативе РКН? При анализе лучших практик других стран, в блоге я достаточно часто критиковал РКН за отсутствие публичной помощи операторам ПДн. 
Теперь представилась возможность самому поучаствовать и убедиться, что лучшие практики будет учтены. Надеюсь, что у нас, при помощи Аналитического центра УЦСБ, получится полезный для оператора “методический портфель” .

Буду держать Вас в курсе.